Passa ai contenuti principali

PIM - Privileged Identity Management

 Buongiorno a tutti, in questo nuovo articolo, parleremo del PIM e di come può aiutarci a proteggere l'identità, ovvero i nostri utenti per l'accesso, anche in modo amministrativo alle risorse aziendali. Questo servizio offerto da Microsoft, ci permette di:

  • Gestire
  • Monitorare
  • Controllare
L'accesso alle nostre risorse aziendali.
E' comunque fondamentale spiegare, che questa funzionalità è compresa in piani di Licensing che comprendono al loro interno Azure Active Directory Premium P2, ed è usata soprattutto per questi motivi:

  • un attore malintenzionato che ottiene l'accesso
  • un utente autorizzato influisce inavvertitamente su una risorsa sensibile
E' fondamentale per l'organizzazione ridurre sempre la superfice di attacco, questo ci permette di ridurre in modo considerevole la possibilità di essere in qualche modo "bucati".
La soluzione che andremo a vedere difende l'identità, che per Microsoft è alla base di tutto, in quanto primo veicolo di accesso alla nostra organizzazione.

In questa schermata abbiamo proprio visione, di quanto detto in precedenza, ed in questo articolo vedremo le tre funzionalità nel dettaglio.

Osserviamo ora la parte pratica della soluzione, per capire come funziona dal punto di vista degli amministratori e quale è l'esperienza lato utente.


Nella schermata sopra possiamo vedere che dobbiamo concedere il diritto di Global Administrator all'utente "Android" in questo modo è l'attuale amministratore, che attraverso questo servizio concede il ruolo ne tiene traccia e può eventualmente rimuoverlo senza problemi, nel momento in cui non più necessario.
Abbiamo inoltre settato delle notifiche, o meglio degli alert via email quando viene aggiunto, modificato qualcosa nel ruolo di Global Admin:


Lato utente finale invece avremmo l'esperienza seguente:

Basterà cliccare su Attiva ed il ruolo sarà assegnato, in questo caso all'utente "Android"


L'utente dovrà inserire una motivazione, per il ruolo e cliccare su attiva.
In questo modo possiamo "obbligare" tutti i global admin o un qualsiasi altro ruolo ad attivare l'MFA per accedere alle risorse aziendali, monitorare o concedere determinati ruoli solo per l'arco temporale che decidiamo, questo come detto in precedenza ci permette di ridurre notevolmente la superfice di attacco.

Tutte le immagini sono di Microsoft e sono di loro proprietà.


Etichette:

Post popolari in questo blog

How to Disable Microsoft Defender without interaction on Device

I'm so happy to share my first article in English, help community all over the world for me is fantastic! Today in this article i share you a way to disable Defender for Endpoint with Live Response, without interaction on the endpoint, in this way Helpdesk or IT are autonomous to do this activity. I made the following steps to made it possibile: Create Powershell Script to Disable Tamper Protection and Realtime Monitoring Create Powershell Script to Enable Tamper Protection and Realtime Monitoring Create Powershell Script to verify if operation is made correctly To share you this i use my Tenant Microsoft 365 and one Endpoint that is onboarded on Microsoft Defender portal Fig 1: Endpoint Onboarded on Microsoft Defender Portal And i use Microsoft 365 E5 license, to view all Microsoft License i report to you Aaron Dinnage websites that show detailed license of Microsoft 365  Home | M365 Maps Fig 2: License used for Demo Ok let's go now i create the powershell script (is very fas...
Continua a leggere

Office Deployment Tools (ODT)

  Cosa è ODT (Office Deployment tools) ? Quante volte ci siamo chiesti come scaricare e limitare i pacchetti della suite Office che andiamo a deployare sulle macchine dei nostri utenti ? ODT è la risposta giusta per tutti coloro che si sono posti questa domanda, un unico strumento per scaricare,installare e aggiornare la suite di collaboration e produttività di Microsoft. Recandosi al sito ufficiale Microsoft Interfaccia di amministrazione di Microsoft 365 Apps (office.com) è possibile creare il file xml che ci servirà successivamente per eseguire il download di office 365 vediamo come:   Innanzitutto vi è la possibilità di scegliere l’architettura di installazione quindi 32 o 64 bit, in base alle esigenze che abbiamo a livello applicativo.   Successivamente possiamo scegliere se disinstallare le versioni precedenti che sono magari già installate sulla postazione dell’utente, è inoltre possibile scegl...
Continua a leggere

Github Repository for Microsoft Defender for Endpoint

Post Views: In questo periodo di ferie ho deciso di cominciare a creare anche degli script Powershell, diciamo pronti all'uso da mettere a disposizione della community tramite il mio repository di Github. Il primo script è basilare, ma a mio avviso molto utile per aiutarvi a identificare e risolvere problemi di configurazione del vostro Endpoint. In questo articolo vi spiego come è strutturato lo script e come procedere al Download ed al suo utilizzo. Come prima cosa dovrete recarvi all'interno del seguente link per il download  Gaudium1991/MicrosoftDefenderUtilScript: This repository Contain a lot of Script about Microsoft Defender for Endpoint (github.com) Figura 1: Download dal repository Github dello zip contenente lo script Figura 2: Download Script Ora recatevi nella cartella Download, nella quale sarà presente lo zip Figura 3: Estrazione dello zip all'interno della cartella Download Figura 4: Contenuto della cartella appena scaricata da Github Ora dovrete aprire la ...
Continua a leggere